Если у вас появился WINSec.exe, wuauser.exe0, secscan.exe то вам суда

[BerezovskiyAnd]

Итак недавно, а конкретно у меня это началось 19.04.2017, судя по логам во 2 часу ночи, с заражённой машины на сервак грузанулс вирус DOUBLEPULSAR (сейчас я уже знаю что это). Тогда я думал что меня взломали какие то бешеные хакеры и каким то невообразимым образом получили доступ к моему ПК (хотя так и было к ПК доступ получили, ненадолго :) но всё же).
И так DOUBLEPULSAR появился в Сети 12-го апреля 2017 года, когда произошла утечка в Сеть утилит для взлома используемых Национальным Агенством Безопасности США.
На эти утилиты тут же наложили лапы все кому не лень, и уже к 15-му апреля насчитывалось 1,951,075 серверов инфицированных Backdoor DOUBLEPULSAR.
В загрузке у вашего ПК должнгы быть приблизительно вот такие файлы: WINSec.exe, wuauser.exe0, secscan.exe, это не полный набор все не копировал
Удалить их можно самостоятельно, но при условии что система не зависла по полной. В безопасном режиме эта фигня не грузится
по расположенным каталогам находится в следующих местах:C:\Windows\Prefetch ; C:\Windows\SysWOW64\config\systemprofile\AppData\L ocal\Microsoft\Windows\Temporary Internet Files
Распиловщик где то скрыт поскольку именно он при перезагрузке всё возвращает на места. В логах тишина откуда, что берётся непонятно да и времени совсем нет на изучение данной проблемы поскольку Юзера даже на клавиатуре не знаят где находится кнопка Ctrl.
Так же временно вам поможет антивирусные утилиты от различных контор я на данный момент пользуюсь этой: esetonlinescanner_rus
Короче говоря если вы заражены данным вирусом: под жестким ативирусом подключаем заражённый винт к чистой системе заходим через безопасный режим или через загрузочную флэш(на которой и установлен хороший антивирус) копируем нашу базу данных 1с или что там у вас, идём в магазин покупаем новый винт ставим всё как было с 0. Старый лежит в сторонке ждёт когда общество придумает лекарство.
Сылка на иностранный источник.
Сылка на форму где сейчас идёт более менее активная дискуссия на русском (с этого форума взята инфа о DOUBLEPULSAR)
Из 4 серваков читый сейчас только один на котором тупо был поменян жесткий диск и полностью перестановлена система с 0.
У тех у кого Windows Vista, 8, 10, server 2012, лицензионные естественно должны установить последнее обновления от Макрасофта и радоваться жизни.

[BerezovskiyAnd]

Извините возможны ошибки не знаю как тут править.
Забыл написать.
Было заражено 5 машин в локальной системе. Ативирус при этом нифига не нашел и не находит.
Как понял что именно они.
В логах стали писаться огромное количество запросов (Аудит отказ) от этих машин на предмет входа через RDP, причем логин указан верный, а вот пароль поскольку при наборе в ******* тупо подбирался. Поскольку в основном у обычных пользователей пароль около 9 знаков то подборщик за пару дней ломает как минимум одного.
Были очищены данные компы, но пишут что: меня вирус пережил формат жёсткого диска, удаление разделов жёсткого диска, перепрошивку БИОСа и роутера, формат флэшки с Виндой, попытку установить Винду с другого образа - всё без толку. До сих пор, 2 недели спустя, никто не нашёл источник появления этого бэкдора на компьютере. Поэтому если у вас появился описанный в теме майнер, то более чем вероятно появился и бэкдор через который этот майнер скачивается.
Пока запросов с машин не идёт логи проверяю каждый час, но не спокойно ох не спокойно. Перебрал всю групповую политику ужесточил всё, что только можно на чистой машине 2 неделя тихо.

[alexmannsonn]

Ага, чё, пойду и я искать этот мусор. Мож найду чё.